דוא"ל איננו מדיום מאובטח

דוא"ל תמיד היה איתנו, עוד לפני ימי הרשתות החברתיות, לפני הבלוגים, אפילו לפני פתיחת המרשתת לציבור, ובהחלט לפני שתקני הצפנה כמו SSL או TLS היו בשטח. למעשה דואר אלקטרוני הנישא על גבי UUCP או SMTP קיים בצורה די דומה לצורתו הנוכחית כבר במעט חצי מאה. סימן השטרודל בכתובת יחגוג 50 בשנה הבאה, וה-RFC הראשון עוד שלוש שנים. נולד חודש אחרי, הצוציק.

מצד אחד זה מראה על יציבות בלתי רגילה. תקנים נכנסו ויצאו, HTTP למשל עבר באותה התקופה שינויים אדירים, התפצל והתאחד, מפלרטט עם UDP, והשתלט על הקשקשת ברשת. פרוטוקולים אחרים לבלבו וקמלו, אבל איכשהו הדוא"ל נשאר איתנו באותה הצורה. נכון שקראנו דרך הדפדפן, אאוטלוק, יודורה, mutt, ועוד מאות תוכנות, אבל מלבד שינויים קלים הבסיס נשאר ונשאר די אמין (מלבד פילטרים חזקים מדי לספאם…). מצד שני זה אומר שתקני ההצפנה לא הגיעו לשם.

כשאני אומר הצפנה זה לא רק שליחה וקבלה של דוא"ל מוצפן במפתחות ציבוריים, GPG או תעודות X.509 ושאר תקנים מסורבלים, הלוואי שזה היה תופס כראוי (אתם עדיין מוזמנים להתכתב איתי עם GPG דרך Thunderburd+Enigmail אבל אני הראשון להודות שזה מסובך מכדי להיות שימושי). אני מתכוון להצפנה פשוטה של TLS, אותו HTTPS בתחילת כתובות מרשתת שהיום הדפדפן יזהיר אתכם כשאתם משתמשים בגרסה הלא מאובטחת של הגישה לאתר.

כמו שכתבתי פה בפוסט הקודם, עברתי בשנה האחרונה טיפול בסרטן המעי הגס. זה כלל בדיקות קולונוסקופיה, CT, MRI, שני ניתוחים, חצי שנה של טיפולי כימו והמון המון קביעות תורים אצל אונקולוגים, גסטרואנטרולוגים, יועצים גנטיים וסתם הפעלות של ביטוח פרטי ורופאת קופ"ח. כל זה להגיד שהייתי צריך לשלוח ולקבל המון ניירות שבהם מתנוססים מספר תעודת הזהות שלי ובחלק מהמקרים גם צילום מלא של תעודת הזהות שלי. לעשות את זה בדוא"ל לא מקובל עלי כי יש לנו מה להפסיד.

בעזרת ת"ז אפשר לעשות לא מעט נזק לאזרח ישר. אפשר להצליב עליו מידע מכמה מאגרים, חוקיים יותר ופחות, אפשר לנסות להזדהות מול נותני שירות שלו ולגנוב זהות, למרות שבנקים ומשרדי ממשלה שונים הפסיקו לתת שירות רק עבוד מספר ת"ז, מומחים להנדסה חברתית עדיין מכירים טריקים להיעזר בזה. צילום של תעודת הזהות כולה מכיל גם את תאריך ההנפקה שלה וכאן אנחנו כבר מספקים דרך להיכנס לאתרים ממשלתיים כמו "הר הכסף" ו"הר הביטוח" ועל זה אני ממש לא ממליץ. מה גם שאת תעודת הזהות הישראלית קל לזייף, במיוחד אם כמוני אתם עדיין מסרבים לעבוד לתעודה החדשה כל עוד המאגר הביומטרי עדיין קיים.

אז מה עשיתי? תאמינו או לא נאלצתי להשתמש בפקסים. איכס. יש לנו פה מדפסת מולטיפנקשן בבית, לדעתי אלו המודמים האנלוגיים האחרונים בעולם שעוד מיוצרים, אבל ככה אני לפחות יודע שרק השב"כ עשוי להאזין, ולא כל ארחי פרחי במרשתת. לשב"כ יש ממילא את כל המידע עלי שבא לו, אז זה זניח.

זה לא שאין תקן למשלוח דוא"ל מוצפן בין שרת לשרת. פשוט הרבה מוסדות לא טורחים לממש אותו. שרת הדוא"ל האישי שלי ינסה לשלוח לג'ימייל בצורה מוצפנת ויצליח, אבל מה לגבי קופת החולים שלי? והמכון שבו עשיתי את הקולונוסקופיה? ובי"ח שיבא שם יושבים האונקולוגית והכירורג שלי? ובי"ח בילינסון שם אני אמור לעבור יעוץ גנטי? יותר מזה, כשאני הולך לצלם את השיניים הם שולחים בדוא"ל את הצילומים לרופא השיניים שלי, מזהה ביומטרי אחו-שלוקי אם תרצו, כולל תעודת הזהות, ואין לי מושג איך הדוא"ל עובר ביניהם.

אם מסקרן אתכם אתם יכולים לבדוק עם כמה כלים פשוטים בשורת הפקודה בלינוקס. לכל דומיין (=שם מתחם) במרשתת אמורות להיות רשומה אחת או יותר מסוג MX ואפשר לראות מי מטפל להם בדוא"ל והאם כתובת הIP הנ"ל עונה בפורט 465/tcp – אחרת זה נופל לפורט הרגיל הבלתי מוצפן 25/tcp שעליו אפשר להפעיל TLS אבל סביר להניח שזה כבר לא יהיה אם 465 לא פתוח. הבעיה היא שאין פה איזה מנעול ירוק או סימן קריאה אדום. לא קל לברר מה קורה עם מכתב מרגע ששלחתם, אלא אם כן תוכלו לראות את כל המסלול שעבר עד שהגיע ליעד (במילים אחרות תשכחו מזה). בדקתי את המצב בכמה גופים, והתעודדתי שרובם מקפידים, רק שלפחחות אחד מאלו שהזכרתי לעיל השתמש בספק אינטרנט ציבורי למקרה שהשרת שלו מושבת (כלומר רשומות MX נוספות בעדיפות נמוכה) ושם לא הייתה הצפנה, או במילים אחרות, אם תקרה להם תקלה טכנית זמנית, כל הדוא"ל שלהם יוזרם לשרת פרטי בצורה לא מוצפנת עד שהם יחזרו לתפקוד.

כבר קרה לי גם שישבתי מול סוכן ביטוח או יועצת השקעות שביקשו לצלם את תעודת הזהות שלי ועשו את זה למרבה התרעומת עם הסמארטפון הפרטי שלהם. לאיפה הולך הצילום? "אה, אני שולח את זה לעצמי לאימייל של העבודה". יופי נחמה. בדרך זה גם בטח מתרפלק לגוגל פוטוז ונשמר בחשבון הענן שלך לנצח. תודה באמת. ולא נכנס פה לשליחי דואר שמצלמים לך את התעודה כהוכחה שקיבלת את החבילה, או שכל סופר שכונתי רוצה את מספר הזהות בשביל כרטיס ההנחות שלהם. נופ. זה בכלל מיותר וחודרני.

פתרון אפשרי אחד: פרוייקט מאוד חביב של מוזילה הוא Mozilla Send, שלצערי הומת בטרם עת. למרבית המזל הוא עדיין תוכנה חופשית ויש סיכוי טוב שאחרים יתקינו אותו בכל מיני מקומות שנצטרך להחליט אם הם אמינים ולא מילכדו את התוכנה. אני כנראה אקים אחד לשימושי הפרטיים על השרת שלי. אני רק מקווה שימשיכו לתחזק את הקוד שלו. זה מאפשר לשלוח קבצים בצורה מוצפנת, שהמפתח שיוכל לפתוח אותם (ורק פעם אחת) הוא לינק שאותו אפשר לשלוח דרך דוא"ל או תוכנות מסרים שונות. אם הלינק נשלח בדוא"ל זה לא מושלם, אבל לפחות תדעו שברגע שהמקבל הוריד אותו הוא נמחק מהשרת לבלי שוב והלינק הופך לבלתי שימושי. במקרה הנדיר שמישהו תפס את הלינק והוריד את הקובץ לפני המקבל המיועד, לפחות תהיה לכם הוכחה שהקובץ נגנב ע"י מאזין שלישי ולא ע"י המקבל. ברכותי, הפרנויה הוכחה כרלוונטית. חסרונות – לא ברור אם או מתי יחזור השירות, לא ברור אם למישהו בתוך מוסד כמו בנק/ביטוח/קופ"ח יש בכלל גישה לשרת החיצוני שאליו הלינק שנתתם.

אפשרות אחרת – אם החלטתם שגוגל באמת לטובתכם ולא רק בהצהרות, וגם אתם וגם המקבל משתמשים בג'ימייל, אפשר לסמוך על זה ששליחה בין שתי תיבות ג'ימייל היא בטוחה ולא תדלוף מחוץ לשרתי החברה. החסרונות הם שלגוגל יש גישה. באותה הצורה גם העלאה של הקובץ לגוגל דרייב, דרופבוקס, מיקרוסופט וואן דרייב ודומיהם.

אפשרות נפוצה אבל לא הכי נוחה – שליחה בוואטסאפ. קל לצלם את המסמכים ולשלוח JPG או PDF לצד השני, זה מוצפן מקצה לקצה. הבעיות – בטלפון השולח והמקבל יש עוד יישומים שרואים את הקובץ הנשלח, אז רוגלות, תוכנות גיבוי, גוגל פוטוז ושאר דברים שאנשים לא מאוד טכניים שוכחים לקחת בחשבון עלולים לעשות העתקים של שמידע. כמו כן לא הייתי שולח את זה לטלפון הפרטי של עובד חברת ביטוח וכדומה.

אפשרות טיפה יותר טובה היא סיגנל, שהמציאה את הפרוטוקול שבו וואטסאפ משתמשת, והיחידה שידוע שמיישמת אותו נכון כי הקוד פתוח. הבעיה שלא הרבה בארץ ובעולם משתמשים בה, ושאר החסרונות כמו שכתבתי לעיל.

על טלגרם לא בא לי לדבר. הם טוענים שהם מאובטחים אבל מומחים מהתחום מעקמים את האף על המימוש שלהם, הם בחרו בהצפנה לא תקנית ולא מוכחת פרטית משלהם, וזה אומר מנורות אזהרה.

הצפנת GPG מקצה לקצה דרך כלים כמו אניגמייל או KeyBase קיימים ומצויינים, אבל רחוקים מלהיות לגמרי שמישים למשתמש הממוצע. אני אשמח אם יותר ישתמשו בזה להעברת מסרים וקבצים, אבל ברור שזה איננו פתרון אידאלי לכולם.

אז מה הפיתרון האידאלי? חברות הביטוח וקופות החולים צריכים לאפשר העלאת קבצים בצורה מאובטחת באתר שלהם או דרך אפליקציה ייעודית (איכס) ועד אז, אל תנתקו עדיין את קו הבזק ומכשיר הפקס שלכם. לא, שימוש בחברות של פקס-דרך-דוא"ל לא מוסיפות אבטחה, להפך, זה מוסיף כמעט בוודאות חוליה לא מוצפנת לשרשרת שאחרת הייתה יכולה להיות פרטית.

(את הפוסט הזה העליתי בעקבות שנה וחצי של תסכולים מול מערכת הבריאות והביטוח, אבל גב הגמל נשבר בעקבות הבחירות המקוונות המתקרבות בעמותה לידע ציבורי, שלדעתי אינן מאפשרות לי להצביע במתכונת שהוצגה – בלינק פירטתי גם חלופה פרקטית להצבעה מקוונת בעמותה שכנראה לא תיושם נכון לכרגע)

אנשים עוד קוראים בלוגים?

My Diamine ink bottles

שנתיים עברו בערך מאז הפוסט האחרון, וגם לפניו הקצב ירד לזרזיף. החיים פשוט התחילו לזוז מהר מדי, הקצב של טוויטר בקושי הדביק אותם, ואנשים פשוט לא קוראים יותר הודעות של יותר מ140 תווים. טוויטר הכפילו ל-280 אבל אנשים עדיין קוראים רק חצי.

אז מה קרה לעירא בשנתיים האחרונות?

מבחינת עבודה – אני עדיין עובד בעולם ה-DevOps, אחרי שנה וחצי של עבודה על חומרת אחסון מפלצתית לתשתיות ענן, אני שוב עובד בצד המשתמש של שירותי הענן של אמזון. אני עובד בחברת פינטק שהתחילה מהתמחות בבדיקות סיכונים מהירות למתן הלוואות חוץ בנקאיות לעסקים קטנים עד בינוניים בארה"ב, ועכשיו גם מציעה שירותי עו"ש. כמעט אפשר לומר שאני עובד בשביל בנק. משבר הקורונה תפש אותנו ב… ובכן לא כלום. כל העבודה ממילא מתבצעת מול שרתים באינטרנט, אין שום מחשוב במשרד מעבר ללאפטופים שהרבה עובדים איתם מהבית ממילא, ולהפך – יש אפילו יותר צורך בשירותים שלנו בתקופת הצניחה הכלכלית, אז יש משכורת ותעסוקה.

מבחינה משפחתית אני עדיין בזוגיות טובה בירכתי רמת גן, גר חצי קילומטר בקו אווירי מבית החולים שיבא, שזה מאוד נוח כשאתה צריך טיפולים אונקולוגיים. זה הנושא הבא והפחות חביב, היה לי גידול קטן במעי הגס שתפסתי בזמן, הגידול הוצא. לאחר ניתוח אחד גדול, חצי שנה כימותרפיה וניתוח נוסף קטנטן, אני כמעט כמו חדש. מלבד צלקות בבטן לא רואים עלי מבחוץ – ואני לא מרגיש מבפנים – משהו שונה.

בענייני אקטיביזם – התנועה לזכויות דיגיטליות עדיין נושמת, מדי פעם טיפה בועטת. לא הצלחנו להשיג הרבה התקדמות לביטול המאגרים הביומטריים ולצערינו הקורונה הביאה איתה בשורות מעקב שב"כ אחרי האזרחים, שאנחנו מנסים למתן ובעיקר להסיר כשתחלוף המגיפה. הבעיה היא שלא ברור אם זה יקרה לפני אמצע 2021. התחזיות עגומות.

תחביבים שקצת נזנחו – התלתפסת, בישול.
תחביבים חדשים-ישנים שהתעוררו – כתיבה ועטים נובעים בשלל צבעי דיו.

וזה הכל על רגל אחת. מה חדש אצלכם?

הוא היה הצבר הכי ותיק

לפי משרד הפנים יש בארץ בסביבות 1500 אנשים שעברו את גיל 100. הם מעריכים שרק 300 מהם עדיין בחיים והשאר שגיאות בירוקרטיות או נוכחים-נפקדים, מהסוג שממשיכים "להצביע לבחירות שנים אחרי מותם". הסבא שלי, שעד לפני שעתיים היה הצבר הכי זקן בארץ, הספיק לסגור 107 שנה בפורים האחרון, הספיק להצביע למפלגת העבודה בינואר, הספיק לנהל 50 שנה את האטליז הלא-כשר הכי מפורסם בירושלים, מתוך 75 שנות קריירה כקצב מאחורי הדוכן. הוא הספיק להתאלמן, לעבוד בשביל הצבא הבריטי, לשרת בהגנה ולפי אגדה לא מאוששת אחת, גם להרוויח כמה פרוטות כנער שליח של בית המשפט המחוזי העותמני. חתיכת הסטוריה שהיום סיפורה הגיע לסיומו.

שני לינקים למי שרוצה לקרוא עוד:

משה קרנצדורף חוגג 103, כתבה של יואב אבן בערוץ 2.

פוסט שלי משנה לפני, יום הולדת 102.

לצערי השבועות האחרונים לא עברו קל, והיו כמה ארועים מטרידים בבתי החולים בהם נאלץ להעביר את ימיו האחרונים. אמא שלי חושבת לכתוב פה פוסט ולו כדי להתריע על הבעיות האלו למי שיעבור אותן ביום מן הימים. במקום אחד זה היה צוות נהדר אבל חברת ניקיון איומה, במקום אחר אטימות של דיאטנית ורופא שהתעלמו מהתיק הרפואי והתגובות של המטופל שלהם, וזה כנראה קיצר את חייו בימים או שבועות. מלבד זה אפשר להגיד בהחלט שזה היה בשיבה טובה.

לא מחצרץ מספיק לעצמי

כן, אומרים מחצצר וזה בכלל ביטוי באנגלית, אבל הפואנטה שאני לא חזק בקידום עצמי. לפני שבועיים נתתי הרצאה חביבה באייקון (סוכות 2012, הנושא היה תגליות) וזרקתי לינק לזרם האינסופי של G+ וטוויטר, אבל אני חושב ששם זה טבע. כשהסתכלתי על זה, אני בעצם מופיע כבר בלא מעט סרטונים בטיוב אבל אף אחד מהם לא בערוץ האישי שלי, אז הלכתי וליקטתי אותם לרשימה. יש כאן שתי הרצאות ספקניות, שני פאנלים שהשתתפתי בהם, הרצאה אחת מאוגוסט פנגווין, פרויקט מחאה אנטיביומטרית אחד שעשיתי עם ערן ורד, ושלל ראיונות שניהלתי בערוץ של חדשות קריקטור זצ"ל. אני לא ייצרתי הרבה חומר לבלוג בשנה האחרונה, אז הנה מנת יתר אודיו-ויזואלית לאיזון. מקווה שתהנו. אשמח למשוב על איכויותיי כמרצה :-)

מגנזיום במים

אהבתם את הפלואוריד? הנה בא המגנזיום.

"מסתבר" שמים מותפלים חסרים מינראלים חיוניים, וספק מחצבים כלשהוא ישלשל לכיס עשרות מליונים בשנה על אספקת מגנזיום ואולי חומרים נוספים כדי להפוך את המותפלים לבריאים. אז עכשיו זה לא רק זיהום מלח ובזבוז אנרגיה שיגרום להפסקות חשמל בקיץ הקרוב, זה גם חציבה. המים המותפלים הופך להיות פיל לבן בעייתי מאוד.

עדכון/הבהרה: אני לא נגד הוספת המגנזיום וחומרים דרושים אחרים, אני נגד מצב שבו אנחנו מרימים ידיים על שימור מערכות המים הקיימות וזורקים כסף, משאבי אנרגיה וזיהום סביבתי על פתרון ההתפלה שאינו בר-קיימא.

בנק לאומי ויתר, קולבר הגיע לסיפור ההדבקות דרך הדואר

עדכון אחד משמח: בנק לאומי החליט שכנראה יש מספיק דעות שליליות נגד פרויקט הריאליטי המכוער שלו, והחליט לסגור את הבאסטה.

עומר כביר צייץ:

לאומי מפסיק את פרויקט 2 מיליון סיבות. לאומי כותב: "מצאנו את עצמנו בלבה של ביקורת ציבורית, שפגעה גם בעמותות. מספר עמותות פנו אלינו באומרן כי האווירה שנוצרה מזיקה להן. כתאגיד הקשוב לדיאלוג עם הציבור הגענו למסקנה כי המודל שאימצנו לא השיג את מטרתו. כיוון שכך, החלטנו שטוב נעשה אם בשלב זה נפסיק את הפרויקט" לאומי יחלק את הכסף בכל זאת – כל 139 העמותות שלקחו חלק בפרויקט יקבלו 10 אלף ש' כל אחת; שאר הכסף – למיזמים אחרים.

ובהמשך לפוסט הזה על חיסונים: